NoaBoti robotvõrk
Ohutegijad on krüptokaevandamise algatuses kasutanud äsja esilekerkinud botneti nimega NoaBot, mis põhineb Mirai raamistikul. Arvatakse, et operatsioon on kestnud vähemalt 2023. aasta algusest. NoaBotil on sellised funktsioonid nagu iselevitav uss ja SSH-võtme tagauks, mis võimaldab täiendavate binaarfailide allalaadimist ja käivitamist või levitamist uutele sihtmärkidele.
Sisukord
Mirai koodi kasutatakse endiselt uue pahavara loomiseks
Mirai botnet on kurikuulus pahavara tüvi, mis sihib peamiselt asjade Interneti (IoT) seadmeid. Lähtekoodi avaldamine võimaldas teistel pahatahtlikel osalejatel pahavarast oma versioone luua, mis viis Mirai-põhiste robotvõrkude levikuni. Lähtekoodi laialdane kättesaadavus aitas kaasa asjade internetiga seotud rünnakute arvu ja ulatuse suurenemisele, seades küberturvalisuse spetsialistidele ja seadmete tootjatele olulisi väljakutseid. Tõepoolest, pärast selle avastamist on Mirai robotvõrgust välja kujunenud arvukalt variante ja järelkasvu, millest igaühel on oma muudatused ja täiustused. Need variandid on sageli suunatud konkreetsetele haavatavustele või keskenduvad erinevat tüüpi asjade Interneti-seadmetele. Mõned kurikuulsad Mirai-põhised botnetid on Reaper, Satori ja Okiru. Üks uuemaid, Mirai koodi kasutavaid robotvõrke on InfectedSlurs, mis on võimeline sooritama hajutatud teenuse keelamise (DDoS) rünnakuid.
NoaBoti robotivõrgu spetsiifilised omadused
On viiteid, mis viitavad potentsiaalsele seosele NoaBoti ja teise botneti kampaania vahel, mis on seotud roostepõhise pahavara perekonnaga P2PInfect. Seda konkreetset pahavara värskendati hiljuti, et keskenduda ruuterite ja asjade Interneti (IoT) seadmete sihtimisele. Selle seose aluseks on tähelepanek, et ohus osalejad on hiljuti SSH-serverite vastu suunatud rünnakutes katsetanud P2PInfecti asendamist NoaBotiga, vihjates võimalikele pingutustele üleminekuks kohandatud pahavarale.
Vaatamata sellele, et NoaBot on juurdunud Mirais, kasutab selle levitamismoodul SSH-skannerit, et tuvastada sõnastikurünnakutele haavatavad serverid, võimaldades sellel teha jõhkra jõuga katseid. Seejärel lisab pahavara faili .ssh/authorized_keys avaliku SSH võtme, võimaldades kaugjuurdepääsu. Valikuliselt saab NoaBot pärast edukat ärakasutamist alla laadida ja käivitada täiendavaid binaarfaile või levitada end uutele ohvritele.
Eelkõige on NoaBot koostatud uClibc-ga, muutes seda, kuidas turvamootorid pahavara tuvastavad. Kui teised Mirai variandid tuvastatakse tavaliselt Mirai allkirja abil, siis NoaBoti pahavaratõrjesignatuurid liigitavad selle SSH-skanneriks või üldiseks troojalaseks. Lisaks hägustamistaktika kasutamisele analüüsi keerulisemaks muutmiseks, kulmineerub ründejada lõpuks XMRig mündikaevandaja modifitseeritud versiooni kasutuselevõtuga.
NoaBot on varustatud täiustatud hägustamise funktsioonidega
Mis eristab seda uut varianti teistest Mirai botnetipõhistest kampaaniatest, on kaevandusbasseini või rahakoti aadressi puudutava teabe märkimisväärne väljajätmine. See puudumine muudab krüptoraha ebaseadusliku kaevandamise tasuvuse mõõtmise keeruliseks.
Kaevandaja rakendab täiendavaid ettevaatusabinõusid, hägustab oma konfiguratsiooni ja kasutab kohandatud kaevandusbasseini, vältides strateegiliselt rahakoti aadressi paljastamist. Ohutegurite selline valmisoleku tase peegeldab tahtlikke jõupingutusi nende tegevuse varguse ja vastupidavuse suurendamiseks.
Praeguse seisuga on küberjulgeolekuteadlased tuvastanud 849 ohvrite IP-aadressi, mis on üle maailma laiali, kusjuures märkimisväärne kontsentratsioon on Hiinas. Tegelikult moodustavad need juhtumid peaaegu 10% kõigist meepottide vastu suunatud rünnakutest 2023. aastal, rõhutades selle konkreetse variandi ülemaailmset ulatust ja mõju.
